RODO w przedszkolu

W związku z często pojawiającymi się problemami dotyczącymi interpretacji i stosowania przepisów RODO w placówkach oświatowych, m.in. w przedszkolach, Urząd Ochrony Danych Osobowych przy współpracy z Ministerstwem Edukacji Narodowej opublikował poradnik „Ochrona danych osobowych w szkołach i placówkach oświatowych’’ na temat najczęstszych problemów związanych z przetwarzaniem danych w tego typu instytucjach.

RODO w przedszkolu

Rafał Stępniewski

23 października 2018

W związku z często pojawiającymi się problemami dotyczącymi interpretacji i stosowania przepisów RODO w placówkach oświatowych, m.in. w przedszkolach, Urząd Ochrony Danych Osobowych przy współpracy z Ministerstwem Edukacji Narodowej opublikował poradnik „Ochrona danych osobowych w szkołach i placówkach oświatowych’’ na temat najczęstszych problemów związanych z przetwarzaniem danych w tego typu instytucjach.

Przedszkola jako instytucje oświatowe przetwarzają dane osobowe – dzieci, ich opiekunów prawnych, nauczycieli i innych pracowników placówek. Instytucje oświatowe musiały wprowadzić szereg zmian organizacyjnych oraz dostosować wykorzystywane systemy informatyczne do nowych wymogów prawnych dotyczących ochrony danych osobowych.

Kto odpowiada za przetwarzanie danych osobowych w przedszkolu?

Obowiązki związane z ochroną danych osobowych spoczywają przede wszystkim na administratorze. Zgodnie z art. 4 pkt. 7 RODO administratorem może być osoba fizyczna, osoba prawna, organ publiczny, jednostka organizacyjna lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Administratorem danych osobowych dzieci, ich rodziców, nauczycieli i pracowników przedszkola jest przedszkole, które reprezentuje dyrektor placówki (w tym przypadku wynika to z przepisów dotyczących oświaty).

Dyrektor przedszkola reprezentujący administratora (czyli przedszkole) zapewnia zgodne z prawem przetwarzanie danych osobowych w zarządzanej przez niego jednostce. Jednocześnie ponosi odpowiedzialność za działania wszystkich osób, którym nadał upoważnienia do przetwarzania danych osobowych w przedszkolu.

Do najważniejszych obowiązków administratora, związanych z wdrożeniem RODO należy:

  • przetwarzanie danych osobowych zgodnie z zasadami ochrony danych osobowych, określonymi w art. 5 ust. 1 RODO, tj. zgodnie z zasadami: zgodności z prawem, rzetelności i przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości danych, ograniczenia przechowywania danych oraz ich integralności i poufności,
  • zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać (art. 24 ust. 1 RODO),
  • wdrożenie odpowiednich i skutecznych środków technicznych i organizacyjnych, zapewniających bezpieczeństwo przetwarzanych danych (art. 32 RODO),
  • podawanie określonych w art. 13 RODO informacji w momencie zbierania danych od osoby, której dane dotyczą oraz określonych w art. 14 RODO – w przypadku pozyskania danych w inny sposób, niż od osoby, której dane dotyczą,
  • zapewnienie osobom, których dane dotyczą, wykonywania ich praw zgodnie z art. 15–22 RODO,
  • przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych zgodnie z zasadami określonymi w rozporządzeniu – jeżeli takie operacje administrator realizuje (art. 44-49 RODO),
  • dopuszczanie do przetwarzania wyłącznie osób upoważnionych (art. 29 RODO), rejestrowanie czynności przetwarzania (art. 30 RODO),
  • analiza ryzyka,
  • ocena skutków dla ochrony danych osobowych (art. 35 RODO),
  • zawieranie umów powierzenia – w przypadku gdy przetwarzanie ma być dokonywane w imieniu administratora przez zewnętrzny podmiot przetwarzający (art. 28 RODO),
  • zgłoszenie naruszenia ochrony danych Urzędowi Ochrony Danych Osobowych, a w określonych przypadkach także zawiadomienie o naruszeniu osób, których dane dotyczą (art. 32 i 33 RODO),
  • wyznaczenie inspektora ochrony danych – gdy jest do tego zobowiązany na podstawie art. 37 ust. 1 rozporządzenia.

Administrator powinien być w stanie wykazać – zgodnie z zasadą rozliczalności – przestrzeganie i realizowanie zasad ochrony danych osobowych (art. 5 ust. 2) oraz przetwarzanie danych osobowych zgodnie z przepisami rozporządzenia (art. 24 ust. 1 RODO). Powinien to czynić m.in. poprzez wdrożenie odpowiednich procedur i zabezpieczeń oraz prowadzenie dokumentacji ochrony danych osobowych.

Czy w przedszkolu potrzebny jest inspektor ochrony danych?

Jedną ze zmian wprowadzonych przez rozporządzenie jest obowiązek powołania – w określonych przepisami przypadkach – inspektora ochrony danych. Wśród podmiotów, które zobligowane są do powołania inspektora znajdują się przedszkola publiczne. Zgodnie z art. 37 ust. 1a RODO inspektor obowiązkowo powinien zostać powołany w podmiotach publicznych, a takim podmiotem jest przedszkole publiczne. W przypadku przedszkoli niepublicznych powołanie inspektora jest nie obowiązkowe. Inspektorem ochrony danych może być osoba zatrudniona w przedszkolu lub osoba wykonująca zadania na podstawie umowy cywilnoprawnej. Inspektor ochrony danych osobowych może wykonywać inne zadania i obowiązki, jednakże administrator musi zapewnić, żeby takie zadania lub obowiązki nie powodowały konfliktu interesów (art. 38 ust. 6 RODO).

Przetwarzanie danych osobowych w przedszkolu

Dane osobowe w przedszkolu przetwarzane są w ramach następujących aktów prawnych, regulujących funkcjonowanie systemu oświaty:

  • Ustawa Prawo oświatowe (ustawa z 14 grudnia 2016, Dz.U.2018, poz. 996),
  • Ustawa Karta Nauczyciela (ustawa z 26 stycznia 1982, Dz.U.2018, poz. 967),
  • Ustawa o systemie oświaty (ustawa z 7 września 1991, Dz.U.2018, poz. 1457),
  • Ustawa o systemie informacji oświatowej (ustawa z 15 kwietnia 2018, Dz.U.2018. poz. 1900),
  • Ustawa o finansowaniu zadań oświatowych (ustawa z 27 października 2017, Dz.U.2017. poz. 2203).

W przypadku przedszkoli częste będą sytuacje, w których konieczność przetwarzania danych osobowych będzie wynikała z przepisów prawa oświatowego. Będziemy tu mieli do czynienia z przesłanką niezbędności przetwarzania do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c). W takich sytuacjach nieprawidłowym postępowaniem byłoby odbieranie przez administratora zgody na przetwarzanie danych osobowych od osoby, której dane dotyczą – lub w przypadku danych dziecka – od rodzica lub opiekuna prawnego.

O zgodę na przetwarzanie danych osobowych należy prosić jedynie wtedy, gdy nie istnieją inne przesłanki przetwarzania danych. Przykładem, gdzie wymagana jest zgoda rodziców lub opiekunów prawnych jest publikacja zdjęć dzieci na stronie internetowej przedszkola. Konieczność wykazania się przesłanką legalności przetwarzania danych osobowych w postaci wizerunku dziecka wynika tutaj nie tylko z przepisów RODO, ale dodatkowo jest wymagana na gruncie przepisów ustawy Prawo autorskie i prawa pokrewne (art. 81 ust. 1 ustawy).

Czy przedszkola powinny zbierać nowe treści zgód od rodziców?

W przypadku zgód, które były wyrażone przed wejściem w życie RODO, zgodnie z motywem 171 preambuły RODO, przedszkola nie muszą pozyskiwać nowych zgód pod warunkiem, że treść wcześniej zebranych zgód była zgodna z wymogami art. 7 RODO. Ocenę ich treści i zgodności z nowymi przepisami powinien przeprowadzić inspektor ochrony danych.

Dokonując takiej oceny inspektor powinien sprawdzić czy:

  • jest zapewniona możliwość wycofania zgody w łatwy sposób i w dowolnym momencie,
  • zapytania o zgodę zostały prawidłowo i zrozumiale sformułowane,
  • fakt wyrażenia zgody jest możliwy do udowodnienia,
  • treści zebranych zgód spełniają warunki wyrażenia zgody zgodnie z art. 7 RODO.

Jakie prawa mają rodzice w związku z przetwarzaniem danych osobowych dzieci?

RODO wzmacnia pozycję osoby fizycznej w zakresie ochrony jej danych osobowych, przyznając jej na mocy art. 15-21 RODO następujące prawa:

  • prawo dostępu do danych,
  • prawo do sprostowania danych,
  • prawo do usunięcia danych („prawo do bycia zapomnianym”),
  • prawo do ograniczenia przetwarzania danych,
  • prawo do przenoszenia danych,
  • prawo do sprzeciwu wobec przetwarzania dotyczących jej danych osobowych.

Spośród tych praw na szczególną uwagę zasługuje prawo do bycia zapomnianym. Prawo to polega na żądaniu od administratora niezwłocznego usunięcia danych osobowych. Z żądaniem może wystąpić każda osoba, której dane są przetwarzane (np. rodzice, pracownicy), a także rodzice w zakresie przetwarzania danych dziecka. Żeby skutecznie zrealizować prawo osoby do bycia zapomnianym, administrator powinien usunąć wszelkie linki i kopie danych, nawet jeśli są one w posiadaniu innych podmiotów przetwarzających te dane w imieniu administratora. Należy podkreślić, że nie zawsze administrator będzie musiał zrealizować żądanie usunięcia danych.

W przypadku kiedy przedszkole będzie dysponowało inną podstawą prawną do dalszego przetwarzania danych osobowych, administrator może usunąć dane tylko w takim zakresie, w jakim nie ciążą na nim obowiązki związane z przechowywaniem danych, wynikające z przepisów prawa oraz w takim zakresie, w jakim nie ma on prawa do dalszego przetwarzania.

Obowiązek informacyjny w przedszkolu

W czasie postępowania rekrutacyjnego w przedszkolu gromadzone są dane osobowe dzieci, a także dane osobowe ich rodziców. Realizacja obowiązku informacyjnego spoczywa na przedszkolu i jest jednym z podstawowych obowiązków spoczywających na administratorze określonych w art. 13 i 14 RODO. W zależności od sposobu zbierania danych osobowych przez przedszkole obowiązek informacyjny może być spełniony poprzez umieszczenie informacji bezpośrednio na formularzu, udostępnione w miejscu, gdzie osoby, których dane dotyczą podają swoje dane lub umieszczenie klauzuli informacyjnej na formularzu elektronicznym.

Przykładowa klauzula informacyjna

  1. Administratorem danych osobowych Pani/Pana oraz danych Państwa dzieci jest Przedszkole nr...... z siedzibą w...... ul......
  2. Wyznaczyliśmy Inspektora Ochrony Danych, z którym Pani/Pan może się skontaktować w sprawach ochrony danych osobowych swoich oraz dziecka, adres e-mail...... telefon...... lub pisemnie – adres naszej siedziby.
  3. Informujemy, że dane osobowe Pani/Pana oraz dziecka są przetwarzane przez nas w celach:
    • określonych w ustawie Prawo oświatowe, ustawie o systemie oświaty, ustawie o systemie informacji oświatowej, Rozporządzeniu Ministra Edukacji Narodowej w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji na podstawie (art. 6 ust. 1 lit. c RODO),
    • w zakresie, w jakim podanie danych osobowych jest dobrowolne (np. rozpowszechnianie wizerunku) na podstawie wyrażonej przez Panią/Pana zgody (art. 6 ust. 1 lit. a RODO).
  4. Dane osobowe Pani/Pana oraz dziecka będą przetwarzane przez okres niezbędny dla wykonywania celów ustawowych i statutowych.
  5. Zgodnie z RODO przysługują Pani/Panu następujące prawa: do cofnięcia zgody (jeżeli przetwarzanie odbywa się na podstawie zgody), wniesienia sprzeciwu wobec przetwarzania danych, usunięcia danych („prawo do bycia zapomnianym”), ograniczenia przetwarzania, dostępu do treści swoich danych, sprostowania, przenoszenia danych, wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych.
  6. Dane Pani/Pana oraz dziecka mogą być udostępniane firmom, z którymi przedszkole współpracuje w celu prowadzenia dokumentacji oraz w celu prawidłowej realizacji zadań wynikających z obowiązujących przepisów prawa.
  7. Dane osobowe Pani/Pana oraz dziecka nie będą przekazywane do państwa trzeciego/organizacji międzynarodowej.

Klauzula informacyjna wobec osoby upoważnionej przez rodzica do odbioru dziecka z przedszkola

  1. Administratorem Pani/Pana danych osobowych jest Przedszkole nr...... z siedzibą w...... ul......
  2. Wyznaczyliśmy Inspektora Ochrony Danych, z którym Pani/Pan może się skontaktować w sprawach ochrony danych osobowych swoich oraz dzieci, adres e-mail...... telefon...... lub pisemnie – adres naszej siedziby.
  3. Pani/Pana dane osobowe przetwarzane są w celu prowadzenia ewidencji osób upoważnionych przez rodzica/prawnego opiekuna do odbioru dziecka z przedszkola.
  4. Pani/Pana dane osobowe zostały pozyskane od rodzica/opiekuna prawnego tj......
  5. Odbiorcą Pani/Pana danych osobowych są: pracownicy administracji, pracownicy obsługi oraz pracownicy pedagogiczni Przedszkola nr...... z siedzibą w...... ul......
  6. Kategorie przetwarzanych danych osobowych: (np.: imię, nazwisko, seria i numer dokumentu tożsamości)
  7. Pani/Pana dane osobowe będą przechowywane przez okres edukacji dziecka w Przedszkolu nr...... z siedzibą w...... ul......
  8. Zgodnie z RODO przysługują Pani/Panu następujące prawa: do cofnięcia zgody (jeżeli przetwarzanie odbywa się na podstawie zgody), wniesienia sprzeciwu wobec przetwarzania danych, usunięcia danych („prawo do bycia zapomnianym”), ograniczenia przetwarzania, dostępu do treści swoich danych, sprostowania, przenoszenia danych, wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych.
  9. Dane osobowe Pani/Pana oraz dzieci nie będą przekazywane do państwa trzeciego/organizacji międzynarodowej.

Monitoring wizyjny w przedszkolu

Kamery w instytucjach oświatowych mogą być instalowane tylko w celu zapewnienia bezpieczeństwa uczniów i pracowników oraz w celu ochrony mienia (zgodnie z art. 108 a ust. 1 Prawa oświatowego). Kamery nie powinny obejmować sal lekcyjnych, gabinetów psychologicznych, szatni, przebieralni, stołówki.

Stosowanie monitoringu w tych pomieszczeniach jest dopuszczalne tylko wtedy, gdy jest niezbędne i nie narusza godności ani innych dóbr osobistych dzieci, w szczególności jeśli zostaną zastosowane techniki uniemożliwiające rozpoznanie przebywających w pomieszczeniach osób. Administrator powinien szczególnie wnikliwie przeanalizować potrzebę stosowania monitoringu wizyjnego w placówce oświatowej. Przed instalacją monitoringu wizyjnego powinien skonsultować tę decyzję z radą pedagogiczną i radą rodziców.

Rejestr czynności przetwarzania danych osobowych w przedszkolu

Administrator ma obowiązek prowadzić rejestr czynności przetwarzania danych osobowych (zgodnie z art. 30 ust. 1 RODO).

Dokumentacja powinna zawierać następujące informacje:

  • na temat administratora oraz inspektora ochrony danych,
  • na temat celu dokonywanych procesów przetworzenia danych osobowych, osób odpowiedzialnych za te procesy,
  • na temat kategorii danych osobowych i podmiotów danych objętych przetwarzaniem
  • na temat okresów przechowywania danych,
  • jeśli to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Na wniosek Prezesa Urzędu Ochrony Danych Osobowych, administrator zobowiązany jest udostępnić mu taki rejestr. Rejestr może być prowadzony zarówno w wersji papierowej, jak i elektronicznej.

W celu ułatwienia przegotowania i prowadzenia rejestru przez przedszkola i inne placówki oświatowe został udostępniony przez Urząd Ochrony Danych wzór rejestru czynności przetwarzania, dedykowany dla placówek oświatowych.

Zgłaszanie naruszeń ochrony danych

Nowym obowiązkiem ciążącym na administratorze wynikającym z art. 33 RODO jest konieczność zgłaszania naruszeń ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych.

W przedszkolu możemy wyróżnić następujące rodzaje incydentów mających charakter naruszeń ochrony danych osobowych:

  • naruszenie poufności – dotyczy ujawnienia danych osobowych nieuprawnionej osobie lub instytucji,
  • naruszenie dostępności – dotyczy trwałej utraty lub zniszczenia danych osobowych,
  • naruszenie integralności – polega na nieautoryzowanej zmianie treści danych osobowych.

Zgodnie z przepisami administrator ma obowiązek zgłaszania wszelkich naruszeń bezpieczeństwa danych osobowych w terminie do 72 godzin od naruszenia, bezpośrednio do Urzędu Ochrony Danych chyba. Nie ma obowiązku zgłaszania naruszenia, jeśli oceni, że jest mało prawdopodobne, aby powodowało uszczerbek w prawach lub wolności osób fizycznych. W przypadku kiedy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

Publikacja list przyjętych dzieci do przedszkola

Przedszkola są zobowiązane do podania do publicznej wiadomości wyników rekrutacji poprzez umieszczenie w swojej siedzibie w widocznym miejscu listy zawierającej imiona i nazwiska kandydatów oraz informację o decyzji (podstawa prawna: art. 157 ust. 2 pkt 2 i art. 158 ust. 1, 3 i 4 ustawy Prawo oświatowe). Wywieszenie tych informacji w placówce jest jednak ograniczone w czasie. Zgodnie z przepisami publikowanie wyników procesu rekrutacyjnego na stronie internetowej przedszkola jest niedopuszczalne, natomiast umieszczenie takiej listy na terenie przedszkola jest zgodne z prawem.

E-mail do kontaktu nauczyciela z rodzicami

Przedszkole może wykorzystywać adresy e-mail do kontaktu z rodzicami, jeżeli rodzice wyrażą na to zgodę. Ze względów bezpieczeństwa nauczyciele powinni wykorzystywać w tym celu wyłącznie służbowe komputery i służbowe adresy e-mail.

Dane dzieci na tablicach w przedszkolu

Umieszczanie na terenie przedszkola na tablicach podpisanych prac artystycznych dzieci nie wymaga wcześniejszej zgody rodziców lub opiekunów prawnych, ponieważ dotyczy zadań realizowanych przez przedszkole w interesie publicznym (art. 6 ust. 1 lit. e RODO). W przypadku, gdyby rodzice nie wyrazili na to zgody, mogą skorzystać z uprawnienia do zgłoszenia administratorowi sprzeciwu wobec przetwarzania danych swojego dziecka (na podstawie art. 21 ust. 1 RODO).

 

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!